Forwarded from Social Engineering
😈 Миссия выполнима: знакомимся с физическим пентестом.
• В статье описаны различные методы и приемы о которых я уже писал в нашем канале. Предлагаю освежить память постоянным читателям и рекомендую к ознакомлению новым подписчикам:
• Социальная Инженерия. Физическая безопасность. Кто будет вне подозрения?
• Интервью с социальными инженерами.
• Социальная инженерия. Обязательства.
• RFID и Социальная Инженерия.
• Социальная инженерия, физическое проникновение на территорию организации.
• СКУД, Социальная инженерия и физическая безопасность.
• Взлом лифтов - Из шахты в пентхаус.
• Red team: пентест одновременно двух организаций.
• Социальная инженерия и физическая безопасность.
• Социальная Инженерия. Стань кем угодно!
• S.E. Физическая безопасность. Проникновение на территорию различных объектов.
• Делаем копию карты-пропуска по фото.
• Важность открытых данных для атакующего.
Твой S.E. #СИ #Пентест
🖖🏻 Приветствую тебя user_name.• Вчера Group IB опубликовали интересную статью на хабре, которая освещает тему физического тестирования на проникновение. Статья весьма полезная, для тех, кого интересует данная тема, и рекомендована к прочтению: https://habr.com/ru/company/group-ib/blog/668036/
• В статье описаны различные методы и приемы о которых я уже писал в нашем канале. Предлагаю освежить память постоянным читателям и рекомендую к ознакомлению новым подписчикам:
• Социальная Инженерия. Физическая безопасность. Кто будет вне подозрения?
• Интервью с социальными инженерами.
• Социальная инженерия. Обязательства.
• RFID и Социальная Инженерия.
• Социальная инженерия, физическое проникновение на территорию организации.
• СКУД, Социальная инженерия и физическая безопасность.
• Взлом лифтов - Из шахты в пентхаус.
• Red team: пентест одновременно двух организаций.
• Социальная инженерия и физическая безопасность.
• Социальная Инженерия. Стань кем угодно!
• S.E. Физическая безопасность. Проникновение на территорию различных объектов.
• Делаем копию карты-пропуска по фото.
• Важность открытых данных для атакующего.
Твой S.E. #СИ #Пентест
Forwarded from Social Engineering
🔌 KeyGrabber. Аппаратный кейлоггер.
• Сегодня предлагаю ознакомиться с одним из важнейших, в арсенале социального инженера, инструментов: Аппаратный кейлоггер — это в 100% электронное устройство, а, значит, оно не требует доступа к операционной системе, не оставляет никаких следов, а программное обеспечение не в состоянии обнаружить устройства такого типа.
• Идея простая: девайс подключается между компьютером и клавиатурой и записывает на свой накопитель все введенные символы. Разумеется, существует огромное количество коммерческих реализаций этой задумки, в том числе серия KeyGrabber, предлагающая модели как для PS/2, так и для USB-клавиатур.
• Производитель подумал о том, как сделать использование подобных девайсов более незаметным. Ведь мало того, что нужно подключить такой кейлоггер, необходимо еще периодически снимать с него данные. Оказалось, что последнее можно упростить, если снабдить снифер Wi-Fi-адаптером, который может незаметно подключиться к ближайшей точке доступа и отправлять перехваченные данные на e-mail. Этот же производитель также предлагает несколько других полезных решений: https://www.keelog.com/ru/
• Обрати внимание на следующие решения и обзоры в нашем канале: O•MG ADAPTER — O•MG keylogger cable — AirDrive Keylogger Pro — KeyLogger PRO. Благодаря этим инструментам ты можешь получить необходимую информацию как с мобильных, так и со стационарных устройств.
Твой S.E. #Keylogger #Tools #СИ
🖖🏻 Приветствую тебя user_name.
• В ходе проведения большой и сложной атаки, социальные инженеры должны иметь богатый арсенал навыков (от #OSINT до навыков общения в межличностной коммуникации), опыта и проверенных инструментов (как программных, так и аппаратных). В совокупности, перечисленные пункты повышают процент на успешную атаку и выполнение поставленной задачи. • Сегодня предлагаю ознакомиться с одним из важнейших, в арсенале социального инженера, инструментов: Аппаратный кейлоггер — это в 100% электронное устройство, а, значит, оно не требует доступа к операционной системе, не оставляет никаких следов, а программное обеспечение не в состоянии обнаружить устройства такого типа.
• Идея простая: девайс подключается между компьютером и клавиатурой и записывает на свой накопитель все введенные символы. Разумеется, существует огромное количество коммерческих реализаций этой задумки, в том числе серия KeyGrabber, предлагающая модели как для PS/2, так и для USB-клавиатур.
• Производитель подумал о том, как сделать использование подобных девайсов более незаметным. Ведь мало того, что нужно подключить такой кейлоггер, необходимо еще периодически снимать с него данные. Оказалось, что последнее можно упростить, если снабдить снифер Wi-Fi-адаптером, который может незаметно подключиться к ближайшей точке доступа и отправлять перехваченные данные на e-mail. Этот же производитель также предлагает несколько других полезных решений: https://www.keelog.com/ru/
• Обрати внимание на следующие решения и обзоры в нашем канале: O•MG ADAPTER — O•MG keylogger cable — AirDrive Keylogger Pro — KeyLogger PRO. Благодаря этим инструментам ты можешь получить необходимую информацию как с мобильных, так и со стационарных устройств.
Твой S.E. #Keylogger #Tools #СИ
Forwarded from Social Engineering
🧠 Подборка полезного материала для повышения уровня СИ в межличностной коммуникации.
• Если ты будешь изучать вышеперечисленные направления, то шанс получить необходимую информацию в межличностной коммуникации повышается в несколько раз. Не забывай, что успех на выполнение большой и сложной атаки, зависит от уровня твоей подготовки. Сегодня, я собрал для тебя небольшой список статей и видеоматериала, который поможет тебе прокачать навыки #СИ при общении со своей целью:
Полезный материал по профайлингу:
• Взламываем людей.
• Анализ поведения.
• Как правильно читать человека?
• Как научится распознавать эмоции ?
• Как ведет себя лжец ? Читаем людей.
• Жесты, которые выдают неуверенность.
• Можно ли контролировать своё поведение?
• Социальная Инженерия. Сенсорная острота.
• Тактика допроса: искусство изобличения во лжи.
• Что можно сказать о человеке по рукопожатию?
• Верить ли глазам? Чтение человека по лицу и мимике.
Социальная Инженерия и Психология:
• Речевые психотехники.
• Учимся убеждать людей.
• Методы подавления личности.
• Приемы манипуляции в дискуссии.
• Психология поведения человека.
• Четыре источника манипулирования.
• Главные приемы из книг по психологии.
• 5-Шаговая модель вербовки противника.
• Как маркетологи манипулируют сознанием.
• Советы по влиянию от мастера психологии.
• Социальная инженерия и фактор срочности.
• Угон Telegram каналов. Психологические трюки.
• Ограничение выбора и Механизмы воздействия.
• Особенности оценки личности в процессе общения.
• Методы психологического воздействия на человека.
• Что такое дефицит времени и как применяется в СИ.
• Психология поведения: как нами управляет стадное чувство?
• Как СКРЫТО вытягивать информацию? Разбор "Настоящего детектива".
• Психологические уловки в жестких переговорах. Разбор "Острые козырьки".
• Эффект прайминга как один из самых интересных методов Социальной Инженерии.
Социальная Инженерия и НЛП:
• Мысли-вирусы.
• НЛП: Внушения.
• НЛП: Отстройка.
• Разрыв шаблона.
• Метод подстройки в НЛП.
• Создание "Якорей" и НЛП.
• Выбор ресурса для якоря.
• НЛП: защищая личные границы.
• Тактические приемы влияния НЛП.
• Логические уровни психологического влияния.
• Подборка сложных приемов манипуляции сознанием.
• Социальная инженерия и НЛП. Как вызвать нужное состояние.
• Социальная инженерия и НЛП. Как вызвать нужное состояние.
• Хитрости НЛП: главные фразы, которые выдают манипулятора.
• Осторожно, манипуляция! 12 примеров из популярных фильмов.
Что посмотреть? Полезный видеоматериал \ Фильмы \ Сериалы:
• MENTAL.
• Mr.Robot.
• Хакеры (1995).
• Кто я / Who am I.
• Острые козырьки.
• Сноуден || Snowden.
• Настоящий детектив.
• Охотники за разумом.
‼️ Список не претендует на полноту, другую дополнительную информацию ты можешь найти по хештегу #СИ #Профайлинг #НЛП и #Психология. Твой S.E.
🖖🏻 Приветствую тебя user_name.• Социальная инженерия включает в себя много аспектов, именно поэтому, я рекомендую тебе не только изучать полезные и вспомогательные инструменты, читать статьи по пентесту, фишингу, взломам, но и удялть время таким направлениям как #профайлинг, #психология и #НЛП.
• Если ты будешь изучать вышеперечисленные направления, то шанс получить необходимую информацию в межличностной коммуникации повышается в несколько раз. Не забывай, что успех на выполнение большой и сложной атаки, зависит от уровня твоей подготовки. Сегодня, я собрал для тебя небольшой список статей и видеоматериала, который поможет тебе прокачать навыки #СИ при общении со своей целью:
Полезный материал по профайлингу:
• Взламываем людей.
• Анализ поведения.
• Как правильно читать человека?
• Как научится распознавать эмоции ?
• Как ведет себя лжец ? Читаем людей.
• Жесты, которые выдают неуверенность.
• Можно ли контролировать своё поведение?
• Социальная Инженерия. Сенсорная острота.
• Тактика допроса: искусство изобличения во лжи.
• Что можно сказать о человеке по рукопожатию?
• Верить ли глазам? Чтение человека по лицу и мимике.
Социальная Инженерия и Психология:
• Речевые психотехники.
• Учимся убеждать людей.
• Методы подавления личности.
• Приемы манипуляции в дискуссии.
• Психология поведения человека.
• Четыре источника манипулирования.
• Главные приемы из книг по психологии.
• 5-Шаговая модель вербовки противника.
• Как маркетологи манипулируют сознанием.
• Советы по влиянию от мастера психологии.
• Социальная инженерия и фактор срочности.
• Угон Telegram каналов. Психологические трюки.
• Ограничение выбора и Механизмы воздействия.
• Особенности оценки личности в процессе общения.
• Методы психологического воздействия на человека.
• Что такое дефицит времени и как применяется в СИ.
• Психология поведения: как нами управляет стадное чувство?
• Как СКРЫТО вытягивать информацию? Разбор "Настоящего детектива".
• Психологические уловки в жестких переговорах. Разбор "Острые козырьки".
• Эффект прайминга как один из самых интересных методов Социальной Инженерии.
Социальная Инженерия и НЛП:
• Мысли-вирусы.
• НЛП: Внушения.
• НЛП: Отстройка.
• Разрыв шаблона.
• Метод подстройки в НЛП.
• Создание "Якорей" и НЛП.
• Выбор ресурса для якоря.
• НЛП: защищая личные границы.
• Тактические приемы влияния НЛП.
• Логические уровни психологического влияния.
• Подборка сложных приемов манипуляции сознанием.
• Социальная инженерия и НЛП. Как вызвать нужное состояние.
• Социальная инженерия и НЛП. Как вызвать нужное состояние.
• Хитрости НЛП: главные фразы, которые выдают манипулятора.
• Осторожно, манипуляция! 12 примеров из популярных фильмов.
Что посмотреть? Полезный видеоматериал \ Фильмы \ Сериалы:
• MENTAL.
• Mr.Robot.
• Хакеры (1995).
• Кто я / Who am I.
• Острые козырьки.
• Сноуден || Snowden.
• Настоящий детектив.
• Охотники за разумом.
‼️ Список не претендует на полноту, другую дополнительную информацию ты можешь найти по хештегу #СИ #Профайлинг #НЛП и #Психология. Твой S.E.
Forwarded from Social Engineering
💬 true story от Group IB... Ложная тревога.
• На одном из проектов никак не удавалось проникнуть в офис компании, которая занимала в бизнес-центре все этажи с третьего до последнего. На втором этаже находился банк, через который мы попытались получить временный пропуск в здание, но не получилось. Изучив поэтажные планы здания и пообщавшись с сотрудниками, а также сделав предварительную разведку вживую, мы определили два вектора проникновения в здание: через центральный вход и через пожарный выход.
• Проникновение через центральный вход было осложнено чрезвычайно бдительной охраной. В качестве сценария мы придумали актерскую сценку о приступе сахарного диабета, в которой один из исполнителей протискивается между стеной и турникетами к лифтам, пока второй отвлекает внимание охраны.
• Другим сценарием являлось проникновение через пожарный выход, который находился в задней части здания вместе с грузовым лифтом, ведущим на нужный этаж.
• Время было зимнее, исполнители прибыли на место примерно в 9 часов вечера, на улице скрипел мороз. Сперва решили проверить заднюю дверь и узнать обстановку вокруг. При подходе к зданию обнаружили, что дверь была открыта, но за ней наблюдала охрана, выполнявшая патрулирование. Из разговоров охраны стало понятно, что произошла какая-то нештатная ситуация и дверь просто не закрывалась на электромагнитный замок.
• Внезапно наступило затишье: патруль ушел греться в свою сторожку и на пару минут перестал ходить вокруг двери. Отличная возможность погреться в офисе заказчика! В мгновение ока исполнители оказались внутри коридора, ведущего к лифту и лестницам, но уже в лифте поняли, что он не работает, а время, потраченное на его проверку, оказалось роковым: когда исполнители перебегали к лестницам из лифта, их заметил один из охранников.
• Как мы уже писали ранее, крайне важно уметь в любой ситуации вовремя прикинуться дурачком или отыграть нужную роль, сохраняя спокойствие: при общении с охраной дрожащий голос еще никому не помогал.
• Офис страховой компании находился чуть дальше, а мы сделали вид, будто думали, что дверь вела как раз в нее.
• Охранник прищурился, но, судя по всему, поверил в эту легенду и сказал, что искомое место находится дальше и уже не работает, так как время позднее.
• После неудачной попытки мы решили вернуться через полчаса. Аварийная ситуация к тому времени сохранялась, и дверь все еще была открыта нараспашку. Но в этот раз никого из охраны рядом не было. Один из исполнителей вбежал в дверь и сразу направился к лестнице. Там было очень шумно: судя по звуку, активно работала принудительная вентиляция, а магнитные замки были открыты. И тут мы поняли: в здании сработала пожарная тревога или идет проверка пожарной сигнализации — именно поэтому не закрывалась входная дверь. Сразу стоит отметить, что никто из наших специалистов не нажимал на заветную кнопку (в следующий раз обязательно предложим заказчику подобный сценарий) — это оказалось для нас просто счастливой случайностью.
• Наш сотрудник попал на нужный этаж. К тому времени все уже ушли домой, и на этаже нигде не горел свет. Попасть в офисные помещения через пожарный выход не составило труда: оба замка электромагнитные, а все СКУД были отключены из-за пожарной тревоги. Затем исполнитель подошел к рабочему месту одного из сотрудников и установил устройство для атаки “man-in-the-middle”. После этого пентестер без труда покинул бизнес-центр. Операция была признана успешной.
🧷 Источник: https://habr.com/ru/company/group-ib/blog/668846/
Твой S.E. #Пентест #СИ
🖖🏻 Приветствую тебя user_name.
• Сегодня я нашел для тебя очередную и интересную историю от Group IB, принятого чтения:• На одном из проектов никак не удавалось проникнуть в офис компании, которая занимала в бизнес-центре все этажи с третьего до последнего. На втором этаже находился банк, через который мы попытались получить временный пропуск в здание, но не получилось. Изучив поэтажные планы здания и пообщавшись с сотрудниками, а также сделав предварительную разведку вживую, мы определили два вектора проникновения в здание: через центральный вход и через пожарный выход.
• Проникновение через центральный вход было осложнено чрезвычайно бдительной охраной. В качестве сценария мы придумали актерскую сценку о приступе сахарного диабета, в которой один из исполнителей протискивается между стеной и турникетами к лифтам, пока второй отвлекает внимание охраны.
• Другим сценарием являлось проникновение через пожарный выход, который находился в задней части здания вместе с грузовым лифтом, ведущим на нужный этаж.
• Время было зимнее, исполнители прибыли на место примерно в 9 часов вечера, на улице скрипел мороз. Сперва решили проверить заднюю дверь и узнать обстановку вокруг. При подходе к зданию обнаружили, что дверь была открыта, но за ней наблюдала охрана, выполнявшая патрулирование. Из разговоров охраны стало понятно, что произошла какая-то нештатная ситуация и дверь просто не закрывалась на электромагнитный замок.
• Внезапно наступило затишье: патруль ушел греться в свою сторожку и на пару минут перестал ходить вокруг двери. Отличная возможность погреться в офисе заказчика! В мгновение ока исполнители оказались внутри коридора, ведущего к лифту и лестницам, но уже в лифте поняли, что он не работает, а время, потраченное на его проверку, оказалось роковым: когда исполнители перебегали к лестницам из лифта, их заметил один из охранников.
• Как мы уже писали ранее, крайне важно уметь в любой ситуации вовремя прикинуться дурачком или отыграть нужную роль, сохраняя спокойствие: при общении с охраной дрожащий голос еще никому не помогал.
• Охранник: Что здесь делаем?• Исполнители: Мы в страховую компанию. Нам же в эту дверь?• Офис страховой компании находился чуть дальше, а мы сделали вид, будто думали, что дверь вела как раз в нее.
• Охранник прищурился, но, судя по всему, поверил в эту легенду и сказал, что искомое место находится дальше и уже не работает, так как время позднее.
• После неудачной попытки мы решили вернуться через полчаса. Аварийная ситуация к тому времени сохранялась, и дверь все еще была открыта нараспашку. Но в этот раз никого из охраны рядом не было. Один из исполнителей вбежал в дверь и сразу направился к лестнице. Там было очень шумно: судя по звуку, активно работала принудительная вентиляция, а магнитные замки были открыты. И тут мы поняли: в здании сработала пожарная тревога или идет проверка пожарной сигнализации — именно поэтому не закрывалась входная дверь. Сразу стоит отметить, что никто из наших специалистов не нажимал на заветную кнопку (в следующий раз обязательно предложим заказчику подобный сценарий) — это оказалось для нас просто счастливой случайностью.
• Наш сотрудник попал на нужный этаж. К тому времени все уже ушли домой, и на этаже нигде не горел свет. Попасть в офисные помещения через пожарный выход не составило труда: оба замка электромагнитные, а все СКУД были отключены из-за пожарной тревоги. Затем исполнитель подошел к рабочему месту одного из сотрудников и установил устройство для атаки “man-in-the-middle”. После этого пентестер без труда покинул бизнес-центр. Операция была признана успешной.
🧷 Источник: https://habr.com/ru/company/group-ib/blog/668846/
Твой S.E. #Пентест #СИ
Forwarded from Social Engineering
🔖 S.E. Заметка. Подборка бесплатных дополнений Maltego.
• Переходим к списку. Ниже представлены 39 различных дополнений, описание которых, ты найдешь перейдя по ссылкам:
• Twint;
• Skype;
• Steam;
• Nmap;
• Github;
• Censys;
• Holehe;
• Fofa.so;
• Host.io;
• Host.io;
• Clearbit;
• Maigret;
• Hunchly;
• Toutatis;
• Gravatar;
• OpenCTI;
• Gravatar;
• Hunter.io;
• DNSTwist;
• Facebook;
• VirusTotal;
• Recon NG;
• Greynoise;
• FullContact;
• Binaryedge;
• Grey Noise;
• Abusix.com;
• NessusScan;
• GraphSense;
• Phoneinfoga;
• Domaintools;
• BreachAlarm;
• MITRE ATT&CK;
• Internet archive;
• Hacker Target IP;
• I Have Been Pwned;
• True People Search;
• ThreatCrowd search API;
• OpenDNS Investigate API;
📌В дополнение: цикл статей, которые помогут тебе освоить #Maltego и приступить к практическому применению:
• Что такое Maltego и зачем оно вообще нужно;
• Интерфейс и базовое устройство;
• Maltego и OSINT в Facebook;
• Maltego и OSINT в ВК, Instagram, LinkedIN и других соцсетях;
• Применение системы распознавания лиц для OSINT в Maltego;
• Поиск информации с применением геолокации;
• DarkNet matter.
‼️ Как социальные инженеры используют найденную информацию, ты можешь найти по хештегу #СИ и #OSINT. Твой S.E.
🖖🏻 Приветствую тебя user_name.• Сегодня я поделюсь с тобой полезными и бесплатными дополнениями для Maltego. Если ты не знаком с этим инструментом и только начинаешь осваивать тему #OSINT, то я рекомендую ознакомиться с полезным материалом в нашем канале: Maltego. Инструмент для сбора данных.
• Переходим к списку. Ниже представлены 39 различных дополнений, описание которых, ты найдешь перейдя по ссылкам:
• Twint;
• Skype;
• Steam;
• Nmap;
• Github;
• Censys;
• Holehe;
• Fofa.so;
• Host.io;
• Host.io;
• Clearbit;
• Maigret;
• Hunchly;
• Toutatis;
• Gravatar;
• OpenCTI;
• Gravatar;
• Hunter.io;
• DNSTwist;
• Facebook;
• VirusTotal;
• Recon NG;
• Greynoise;
• FullContact;
• Binaryedge;
• Grey Noise;
• Abusix.com;
• NessusScan;
• GraphSense;
• Phoneinfoga;
• Domaintools;
• BreachAlarm;
• MITRE ATT&CK;
• Internet archive;
• Hacker Target IP;
• I Have Been Pwned;
• True People Search;
• ThreatCrowd search API;
• OpenDNS Investigate API;
📌В дополнение: цикл статей, которые помогут тебе освоить #Maltego и приступить к практическому применению:
• Что такое Maltego и зачем оно вообще нужно;
• Интерфейс и базовое устройство;
• Maltego и OSINT в Facebook;
• Maltego и OSINT в ВК, Instagram, LinkedIN и других соцсетях;
• Применение системы распознавания лиц для OSINT в Maltego;
• Поиск информации с применением геолокации;
• DarkNet matter.
‼️ Как социальные инженеры используют найденную информацию, ты можешь найти по хештегу #СИ и #OSINT. Твой S.E.
Forwarded from Social Engineering
👤 Spy Games. Физическая безопасность. Этап разведки.
• Сегодня мы поговорим о получении поэтажного плана здания и обсудим, что дает нам такая информация и как её применить.
• Сразу хочу прояснить, что план здания даст тебе максимум информации как пентестеру. Например:
➖ Можно определить, где находится основной и запасной вход в здание.
➖ Узнать где находятся лестницы, лифты, служебные помещения.
➖ Определить, как обойти охрану или турникеты.
➖ Определить, куда ведет та или иная дверь \ лестница.
и т.д...
• Теперь возникает вопрос: "Где достать поэтажный план здания?". Как бы это не звучало, но найти поэтажный план мы можем в гугле )) Тебе достаточно вбить в поиск наименование бизнес-центра или воспользоваться методами социальной инженерии и под предлогом заинтересованности в аренде помещения, запросить необходимую информацию. В таком случае, план здания тебе предоставят с великим удовольствием.
• Что делать если перечисленные варианты не подходят и ты не можешь найти поэтажный план? Заменой плана является план эвакуации. Это такой же кладезь информации, но только более информативный, так как на таких планах обязаны обозначать эвакуационные выходы, направления лестницы (вверх или вниз), электрощитовые, телефоны и т.д.
• Требуется помнить, что этап разведки является первоначальным и основным при проведении пентеста. На данном этапе ты должен собрать максимум информации об объекте, ведь каждая деталь повышает шанс на успешную атаку. Каждая мелочь помогает социальному инженеру выполнить поставленную задачу. И чем больше ты соберешь информации об объекте, тем лучше.
📌 Обязательно ознакомься со следующим материалом:
• Lockpick - устройство замков и их уязвимости.
• Социальная Инженерия. Физическая безопасность. Кто будет вне подозрения?
• Интервью с социальными инженерами.
• Социальная инженерия. Обязательства.
• RFID и Социальная Инженерия.
• Социальная инженерия, физическое проникновение на территорию организации.
• СКУД, Социальная инженерия и физическая безопасность.
• Взлом лифтов - Из шахты в пентхаус.
• Red team: пентест одновременно двух организаций.
• Социальная инженерия и физическая безопасность.
• Социальная Инженерия. Стань кем угодно!
• S.E. Физическая безопасность. Проникновение на территорию различных объектов.
• Делаем копию карты-пропуска по фото.
• Важность открытых данных для атакующего.
Твой S.E. #СИ #Пентест
🖖🏻 Приветствую тебя user_name.
• Если ты активный читатель @S.E. то наверняка замечал, что я часто затрагиваю тему физической безопасности с точки зрения социальной инженерии. Во многих постах я делал акцент на ключевой этап при проведении пентеста — разведка. Суть данного этапа — получение максимального количества информации. Чем больше информации ты получишь на этапе разведки, тем лучше сможешь подготовиться к проникновению на территорию объекта.• Сегодня мы поговорим о получении поэтажного плана здания и обсудим, что дает нам такая информация и как её применить.
• Сразу хочу прояснить, что план здания даст тебе максимум информации как пентестеру. Например:
➖ Можно определить, где находится основной и запасной вход в здание.
➖ Узнать где находятся лестницы, лифты, служебные помещения.
➖ Определить, как обойти охрану или турникеты.
➖ Определить, куда ведет та или иная дверь \ лестница.
и т.д...
• Теперь возникает вопрос: "Где достать поэтажный план здания?". Как бы это не звучало, но найти поэтажный план мы можем в гугле )) Тебе достаточно вбить в поиск наименование бизнес-центра или воспользоваться методами социальной инженерии и под предлогом заинтересованности в аренде помещения, запросить необходимую информацию. В таком случае, план здания тебе предоставят с великим удовольствием.
• Что делать если перечисленные варианты не подходят и ты не можешь найти поэтажный план? Заменой плана является план эвакуации. Это такой же кладезь информации, но только более информативный, так как на таких планах обязаны обозначать эвакуационные выходы, направления лестницы (вверх или вниз), электрощитовые, телефоны и т.д.
• Требуется помнить, что этап разведки является первоначальным и основным при проведении пентеста. На данном этапе ты должен собрать максимум информации об объекте, ведь каждая деталь повышает шанс на успешную атаку. Каждая мелочь помогает социальному инженеру выполнить поставленную задачу. И чем больше ты соберешь информации об объекте, тем лучше.
📌 Обязательно ознакомься со следующим материалом:
• Lockpick - устройство замков и их уязвимости.
• Социальная Инженерия. Физическая безопасность. Кто будет вне подозрения?
• Интервью с социальными инженерами.
• Социальная инженерия. Обязательства.
• RFID и Социальная Инженерия.
• Социальная инженерия, физическое проникновение на территорию организации.
• СКУД, Социальная инженерия и физическая безопасность.
• Взлом лифтов - Из шахты в пентхаус.
• Red team: пентест одновременно двух организаций.
• Социальная инженерия и физическая безопасность.
• Социальная Инженерия. Стань кем угодно!
• S.E. Физическая безопасность. Проникновение на территорию различных объектов.
• Делаем копию карты-пропуска по фото.
• Важность открытых данных для атакующего.
Твой S.E. #СИ #Пентест
• Мошенники используют социальную инженерию, чтобы выманивать деньги у сотрудников, недавно присоединившихся к компании.
• https://www.kaspersky.ru/blog/new-employee-scam/34871/
#СИ
• https://www.kaspersky.ru/blog/new-employee-scam/34871/
#СИ
Forwarded from Social Engineering
📧 Почтовое текстовое мошенничество: от «нигерийских» писем до вишинга.
Почтовое текстовое мошенничество — «*нигерийские» письма, вишинг, вымогательство и т.д. — до сих пор актуально.
• Различные методы сокрытия фишинговых ссылок не сработают, если текст сообщения не вызывает у юзера желание нажать на неё. Технически совершенный вредоносный документ может обойти все защитные системы, но не даст результата, если получатель усомнится в подлинности письма и не откроет вложение.
• Таким образом, главным элементом фишинговых атак является не только и не столько техническая инфраструктура, состоящая из мошеннических доменов и убедительно выглядящих сайтов, сколько профессиональная социальная инженерия, использующая воздействие на базовые эмоции и усилители в виде срочности и важности.
• Сегодня предлагаю тебе ознакомиться с интересным отчетом, в котором описаны приемы фишеров и интересная статистика за первое полугодие 2022 года:
🧷 https://securelist.ru/mail-text-scam/105613/
*P.S. На скриншотах к посту, ты можешь наблюдать как Сергей Лукьяненко общается с нигерийскими спамерами))) Взято у @alukatsky
Твой S.E. #Фишинг #СИ
Почтовое текстовое мошенничество — «*нигерийские» письма, вишинг, вымогательство и т.д. — до сих пор актуально.
🖖🏻 Приветствую тебя user_name.• Основная составляющая фишинга в том, что данный метод атаки позволяет нам обходить самые продвинутые защитные системы, воздействуя на людей и на их эмоции так, что они совершают действия, нужные атакующему.
• Различные методы сокрытия фишинговых ссылок не сработают, если текст сообщения не вызывает у юзера желание нажать на неё. Технически совершенный вредоносный документ может обойти все защитные системы, но не даст результата, если получатель усомнится в подлинности письма и не откроет вложение.
• Таким образом, главным элементом фишинговых атак является не только и не столько техническая инфраструктура, состоящая из мошеннических доменов и убедительно выглядящих сайтов, сколько профессиональная социальная инженерия, использующая воздействие на базовые эмоции и усилители в виде срочности и важности.
• Сегодня предлагаю тебе ознакомиться с интересным отчетом, в котором описаны приемы фишеров и интересная статистика за первое полугодие 2022 года:
🧷 https://securelist.ru/mail-text-scam/105613/
*P.S. На скриншотах к посту, ты можешь наблюдать как Сергей Лукьяненко общается с нигерийскими спамерами))) Взято у @alukatsky
Твой S.E. #Фишинг #СИ
Forwarded from Social Engineering
😈 OSTmap. Карта хакерских группировок и их инструментов.
📌 OSTMap — карта на которой изображена взаимосвязь хакерских группировок и инструментов которые они используют при атак на свою цель. Например, благодаря OSTMap ты можешь с легкостью узнать что использовала хакерская группировка Cobalt (эта группировка похитила более миллиарда евро у 100 финансовых учреждений из 40 стран мира).
➖ OSTMap: https://www.intezer.com/ost-map/
‼️ Благодаря данной информации ты можешь подчеркнуть для себя те инструменты которые использовала та или иная группировка, изучить историю и методы группировки, определить инструменты и выяснить какие из них активно применяются с использованием социальной инженерии, множество таких инструментов ты можешь найти в нашем канале благодаря хештегам #tools #СИ #Взлом и #hack. И не забывай делиться с друзьями, добавлять в избранное и включать уведомления что бы не пропустить новый материал. Твой S.E.
🖖🏻 Приветствую тебя user_name.💬 Очень давно я писал про АРТ-группировки и инструменты которые они применяют при атаках на различные госучреждения или сторонние компании. Сегодня хочу представить тебе интересный ресурс, благодаря которому ты можешь узнать, какой софт использует та или иная хакерская группировка.
📌 OSTMap — карта на которой изображена взаимосвязь хакерских группировок и инструментов которые они используют при атак на свою цель. Например, благодаря OSTMap ты можешь с легкостью узнать что использовала хакерская группировка Cobalt (эта группировка похитила более миллиарда евро у 100 финансовых учреждений из 40 стран мира).
➖ OSTMap: https://www.intezer.com/ost-map/
‼️ Благодаря данной информации ты можешь подчеркнуть для себя те инструменты которые использовала та или иная группировка, изучить историю и методы группировки, определить инструменты и выяснить какие из них активно применяются с использованием социальной инженерии, множество таких инструментов ты можешь найти в нашем канале благодаря хештегам #tools #СИ #Взлом и #hack. И не забывай делиться с друзьями, добавлять в избранное и включать уведомления что бы не пропустить новый материал. Твой S.E.
Forwarded from Social Engineering
👨🏻💻 Бесконтрольный доступ и рассеянность: итоги одного пентеста.
• Такие случаи напоминают о том, что невозможно предусмотреть все заранее и доказывают важность проведения тестов на проникновение. Приятного чтения.
🧷 https://habr.com/ru/company/bastion/blog/678802/
Твой S.E. #СИ #Пентест
🖖🏻 Приветствую тебя user_name.• В этой статье не будет сложных или изящных атак — напротив, многие из них просты, даже примитивны. Эта история про то, как неплохо защищенная в техническом плане компания может пострадать из-за человеческого фактора: простой ошибки веб-разработчиков или неаккуратных сотрудников.
• Такие случаи напоминают о том, что невозможно предусмотреть все заранее и доказывают важность проведения тестов на проникновение. Приятного чтения.
🧷 https://habr.com/ru/company/bastion/blog/678802/
Твой S.E. #СИ #Пентест